Verbindliche Anforderungen an IoT Cyber Security

20. September, 2021

Wiederholte Cyber Security-Vorfälle in IoT-Anwendungsbereichen zeigen, dass allzu oft nur die notwendigsten an möglichen Sicherheitsmaßnahmen umgesetzt werden. Kombiniert mit Fehlern in der Anwendung resultieren daraus auch schwerwiegende Vorfälle. Die Lernkurveneffekte stehen noch am Anfang, meist machen dieselben Probleme Systeme viel zu leicht angreifbar. Weit verbreitete Lösungen wie Smart Homes oder auch komplexe Industriesteuerungen sind aufgrund schlechter oder fehlender Sicherheitsstandards wandelnde Zielscheiben für Cyberkriminelle.

Verschiedene Einrichtungen haben diese Herausforderungen inzwischen adressiert und versuchen mit Regularien zu unterstützen und lenkend entgegenzuwirken. So hat beispielsweise US-Präsident Biden die CISA und NIST mit der Entwicklung von Leistungszielen für die Cybersicherheit kritischer Infrastrukturen beauftragt. [1] Auch in der EU ist ein Gesetzesentwurf für die sichere Umsetzung von IoT-Systeme für diverse Anwendungsbereiche in der Abschlussphase. [2] Betroffen sind einerseits die Hersteller in der Ausführung, aber auch Anwendenden bei der Nutzung.

Cyber-Security Standards und Best-Practices seit Jahren bekannt

Viele dieser „neuen“ IoT-basierten Services werden seit Jahren auf Basis von statischen Technologien und unveränderten Betriebsmodellen eingesetzt. Best Practice Empfehlungen wie die OWASP IoT Top 10 [3] sind schon seit einigen Jahren verfügbar, es scheinen jedoch verpflichtende Standards notwendig.

Die starke Zunahme der vernetzten Geräte in allen denkbaren Anwendungsfällen ist ein wesentlicher Bestandteil bei der Entwicklung verbindlicher Sicherheitsanforderungen. Je nach Anwendungsfall ist zu unterscheiden: Ein potenzielles Problem bei einem intelligenten Lautsprecher oder Staubsauger ist oft ärgerlich; eine Sicherheitslücke bei Geräten, die die Patientenversorgung oder eine umfangreiche industrielle Fertigung verwalten, kann katastrophale Folgen haben. Mit Systemen, die nach wie vor in einem altertümlich anmutenden „ship-and-forget“-Verfahren implementiert und betrieben werden, ist ein dauerhaft sicheres Service nur schwer und umständlich möglich. [4]

Neue branchenweite Sicherheitsstandards sollen als Leitlinien dienen und nachvollziehbare Klarheit in die Gerätesicherheit bringen. Gesetze für die Einhaltung und Anwendung von Vorschriften erzeugen hoffentlich ein nachvollziehbares, überprüfbares System. So könnte es auch für die KundInnen einfacher werden, die Umsetzung der Gesamtsicherheit unter verschiedenen Anbietern und Herstellern zu vergleichen.

Realistisch betrachtet ist mit einer mehrjährigen Umsetzungs- und Lernphase zu rechnen. Die Entwicklung solcher Standards scheint jedoch vielversprechend. Alles, was die Erhöhung der IT-Sicherheit unterstützt, kommt schlussendlich den Anwendern und Unternehmen zugute.

Lesenswert:
AMNESIA:33 – Kritische Sicherheitslücken in IoT Geräten<
Von Smart-Home bis Enterprise: 5 Gefahrenmodelle für IoT-Hubs
Höchste Warnstufe: Remote Code Execution auf IoT-Geräten möglich

Quellen:

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download